网络中采用了大量的Cisco路由器。管理员通常采用Telnet远程登录的方式对路由器进行日常维护。由于Telnet、FTP等网络服务程序在网络中采用明文传送口令和数据,其安全性无法得到有效的保障。管理员的用户名和密码一旦被别有用心的人截获,后果将不堪设想。因此如何实现Cisco路由器的安全登录成为网络日常维护工作中首要解决的问题。本文利用Cisco路由器对SSH的支持,通过SSH实现了对路由器的安全登录。
路由器篇 全局模式: 如果已经使用了512bit密钥,可以使用如下命令: ================================= host pix515 //修改主机名 客户端登陆: 如果想修改密码,可以在PIX上全局模式输入:passwd 12345 来修改。 是不是觉得very不安全,那么下面来看看怎么设置自定义的用户和密码来进行SSH认证。
ip domain-name cisco.com //配置域名,用于生成证书,证书中包含了公钥。这步很重要必不可缺。
crypto key generate rsa //使用RSA算法生成一对密钥
出现如下提示:
......[512]: //此处是选择密钥长度,默认为512bit
username 12345 passowrd 11111 //配置用户密码
line vty 0 4
transport input ssh //配置VTY线路只接受ssh拨入,使用此命令后telnet将不可用。
login local //远程用户登录时使用路由器本地路由器数据库进行用户认证
exit
可选命令:
ip ssh time-out 30 //配置客户端空闲超时为30秒
ip ssh authentication-retries 3 //SSH客户端登录失败重试次数,3次
注意:如果用ubuntu登录cisco路由器SSH服务,在创建密钥时不能使用512bit,必须使用716bit以上密钥。
crypto key zeroize rsa //清除现存RSA KEY
crypto key generate rsa general-keys modulus 1024 //生成新的1024bit RSA KEY
PIX防火墙篇
domain-name cisco.com //设置域名,必须的
crypto key generate rsa //创建密钥对
ssh 0 0 outside //设置任何IP地址都可以从outside口访问ssh
ssh timeout 60 //设置ssh客户端超时时间
ssh -l pix 192.168.1.253 //使用PIX用户名登陆SSH,PIX为设备内置帐户,默认密码为cisco,
全局模式下:
pix(config)# username test password test //设置本地用户名和密码
pix(config)# aaa authentication ssh console LOCAL //让ssh的认证使用本地数据库。